Yaakov's Group | Ciberseguridad

Phishers de voz dirigidos a VPN corporativas

Comparte este post en tus redes sociales

La epidemia de COVID-19 ha traído una ola de ataques de phishing por correo electrónico que intentan engañar a los empleados que trabajan desde casa para que entreguen las credenciales necesarias para acceder de forma remota a las redes de sus empleadores. Pero un grupo de delincuentes cada vez más descarado está llevando su ataque de phishing estándar al siguiente nivel, comercializando un servicio de phishing de voz que utiliza una combinación de llamadas telefónicas individuales y sitios de phishing personalizados para robar las credenciales de VPN de los empleados.

Según entrevistas con varias fuentes, esta banda de phishing híbrida tiene una tasa de éxito notablemente alta y opera principalmente a través de solicitudes pagas o «recompensas», donde los clientes que buscan acceso a empresas o cuentas específicas pueden contratarlos para que se dirijan a los empleados que trabajan de forma remota en casa.

Y durante los últimos seis meses, los delincuentes responsables han creado decenas, si no cientos, de páginas de phishing dirigidas a algunas de las corporaciones más grandes del mundo. Por ahora, al menos, parecen centrarse principalmente en empresas de las industrias financiera, de telecomunicaciones y de redes sociales.

“Por varias razones, este tipo de ataque es realmente efectivo”, dijo Allison Nixon, directora de investigación de la firma de investigaciones cibernéticas Unit 221B, con sede en Nueva York. “Debido al coronavirus, tenemos todas estas grandes corporaciones que anteriormente tenían almacenes completos llenos de personas que ahora trabajan de forma remota. Como resultado, la superficie de ataque acaba de explotar «.

OBJETIVO: NUEVAS CONTRATACIONES

Un compromiso típico comienza con una serie de llamadas telefónicas a los empleados que trabajan de forma remota en una organización específica. Los phishers explicarán que están llamando desde el departamento de TI del empleador para ayudar a solucionar problemas con la tecnología de redes privadas virtuales (VPN) de la empresa.

El objetivo es convencer al usuario de que divulgue sus credenciales por teléfono o de ingresarlas manualmente en un sitio web creado por los atacantes que imita el correo electrónico corporativo o el portal VPN de la organización.

Zack Allen es director de inteligencia de amenazas de ZeroFOX, una empresa con sede en Baltimore que ayuda a los clientes a detectar y responder a los riesgos que se encuentran en las redes sociales y otros canales digitales. Allen ha estado trabajando con Nixon y varias docenas de otros investigadores de varias empresas de seguridad para monitorear las actividades de esta prolífica banda de phishing en un intento por interrumpir sus operaciones.

Allen dijo que los atacantes tienden a centrarse en la suplantación de identidad de las nuevas contrataciones de empresas específicas y, a menudo, se hacen pasar por nuevos empleados que trabajan en la división de TI de la empresa. Para hacer que esa afirmación sea más creíble, los phishers crearán perfiles de LinkedIn y buscarán conectar esos perfiles con otros empleados de esa misma organización para respaldar la ilusión de que el perfil falso realmente pertenece a alguien dentro de la empresa objetivo.

“Dirán ‘Hola, soy nuevo en la empresa, pero me pueden consultar en LinkedIn’, Microsoft Teams o Slack, o cualquier plataforma que utilice la empresa para las comunicaciones internas”, dijo Allen. “Suele haber muchos pretextos en estas conversaciones en torno a las comunicaciones y las aplicaciones de trabajo desde casa que utilizan las empresas. Pero eventualmente, le dicen al empleado que tiene que arreglar su VPN y que pueden iniciar sesión en este sitio web «.

VISHING DE LANZA

Los dominios que se utilizan para estas páginas a menudo invocan el nombre de la empresa, seguido o precedido por términos con guiones como «vpn», «ticket», «empleado» o «portal». Los sitios de phishing también pueden incluir enlaces de trabajo a otros recursos internos en línea de la organización para que el esquema parezca más creíble si un objetivo comienza a desplazarse sobre los enlaces de la página.

Allen dijo que un ataque de phishing o «vishing» de voz típico de este grupo involucra al menos a dos perpetradores: uno que está usando ingeniería social al objetivo por teléfono y otro co-conspirador que toma cualquier credencial ingresada en la página de phishing y las usa rápidamente Inicie sesión en la plataforma VPN de la empresa de destino en tiempo real.

El tiempo es esencial en estos ataques porque muchas empresas que dependen de las VPN para el acceso remoto de los empleados también requieren que los empleados proporcionen algún tipo de autenticación multifactor además de un nombre de usuario y contraseña, como un código numérico de una sola vez generado por un aplicación móvil o mensaje de texto. Y en muchos casos, esos códigos solo son válidos por un período breve, a menudo medidos en segundos o minutos.

Pero estos vishers pueden eludir fácilmente esa capa de protección, porque sus páginas de phishing simplemente solicitan el código de un solo uso también.

Allen dijo que a los atacantes les importa poco si fallan los primeros intentos de ingeniería social. La mayoría de los empleados específicos trabajan desde casa o se les puede localizar en un dispositivo móvil. Si al principio los atacantes no tienen éxito, simplemente vuelven a intentarlo con un empleado diferente.

Y con cada intento que pasa, los phishers pueden obtener detalles importantes de los empleados sobre las operaciones del objetivo, como la jerga específica de la empresa utilizada para describir sus diversos activos en línea, o su jerarquía corporativa.

Por lo tanto, cada intento fallido realmente enseña a los estafadores cómo refinar su enfoque de ingeniería social con la siguiente marca dentro de la organización objetivo, dijo Nixon.

«Estos tipos están llamando a las empresas una y otra vez, tratando de aprender cómo funciona la corporación desde adentro», dijo.

AHORA LO VE, AHORA NO

Todos los investigadores de seguridad entrevistados para esta historia dijeron que la banda de phishing está registrando sus dominios de forma pseudónima en solo un puñado de registradores de dominios que aceptan bitcoin, y que los delincuentes suelen crear solo un dominio por cuenta de registrador.

«Lo harán porque de esa manera, si un dominio se quema o se elimina, no perderán el resto de sus dominios», dijo Allen.

Más importante aún, los atacantes tienen cuidado de no hacer nada con el dominio de phishing hasta que estén listos para iniciar una llamada vishing a una víctima potencial. Y cuando se completa el ataque o la llamada, desactivan el sitio web vinculado al dominio.

Esto es clave porque muchos registradores de dominios solo responderán a solicitudes externas para eliminar un sitio web de phishing si el sitio está activo en el momento de la queja por abuso. Este requisito puede obstaculizar los esfuerzos de empresas como ZeroFOX que se centran en identificar dominios de phishing recién registrados antes de que puedan utilizarse para cometer fraudes.

“Solo iniciarán el sitio web y lo harán responder en el momento del ataque”, dijo Allen. “Y es muy frustrante porque si presenta una denuncia de abuso ante el registrador y dice: ‘Por favor, quite este dominio porque estamos 100% seguros de que este sitio se usará para maldad’, no lo harán si no veo que se esté produciendo un ataque activo. Ellos responderán que, de acuerdo con sus políticas, el dominio debe ser un sitio de phishing en vivo para que lo eliminen. Y estos malos actores lo saben y están explotando esa política de manera muy eficaz «.

ESCUELA DE HACKS

Tanto Nixon como Allen dijeron que el objeto de estos ataques de phishing parece ser obtener acceso a tantas herramientas internas de la empresa como sea posible y utilizar esas herramientas para tomar el control de los activos digitales que pueden convertirse rápidamente en efectivo. Principalmente, eso incluye las redes sociales y las cuentas de correo electrónico, así como los instrumentos financieros asociados, como las cuentas bancarias y las criptomonedas.

Nixon dijo que ella y otros en su grupo de investigación creen que las personas detrás de estas sofisticadas campañas de vishing provienen de una comunidad de hombres jóvenes que han pasado años aprendiendo cómo hacer ingeniería social a los empleados de las empresas de telefonía móvil y las empresas de redes sociales para que dejen el acceso a las herramientas internas de la empresa. .

Tradicionalmente, el objetivo de estos ataques ha sido obtener el control de cuentas de redes sociales muy preciadas, que a veces pueden alcanzar miles de dólares cuando se revenden en la clandestinidad del ciberdelito. Pero esta actividad ha evolucionado gradualmente hacia una monetización más directa y agresiva de dicho acceso.

El 15 de julio, se utilizaron varias cuentas de Twitter de alto perfil para tuitear una estafa de bitcoin que ganó más de $ 100,000 en unas pocas horas. Según Twitter, ese ataque tuvo éxito porque los perpetradores pudieron ingeniar socialmente a varios empleados de Twitter por teléfono para que dieran acceso a herramientas internas de Twitter.

Nixon dijo que no está claro si alguna de las personas involucradas en el compromiso de Twitter está asociado con esta banda vishing, pero señaló que el grupo no mostró signos de holgazanería después de que las autoridades federales acusaron a varias personas de participar en el ataque a Twitter.

«Mucha gente simplemente se apaga el cerebro cuando escuchan que el último gran hackeo no fue realizado por piratas informáticos en Corea del Norte o Rusia, sino por algunos adolescentes en los Estados Unidos», dijo Nixon. “Cuando la gente escucha que solo participan adolescentes, tienden a descartarlo. Pero el tipo de personas responsables de estos ataques de phishing de voz lo han estado haciendo durante varios años. Y desafortunadamente, han avanzado bastante y su seguridad operativa es mucho mejor ahora «.

LAVADO DE DINERO ADULTO ADECUADO

Si bien puede parecer aficionado o miope que los atacantes que obtienen acceso a los sistemas internos de una compañía Fortune 100 se centren principalmente en robar bitcoins y cuentas de redes sociales, ese acceso, una vez establecido, puede reutilizarse y revenderse a otros en una variedad de de maneras.

“Estos muchachos realizan trabajos de intrusión por contrato y aceptan dinero para cualquier propósito”, dijo Nixon. «Este material puede extenderse muy rápidamente a otros fines de piratería».

Por ejemplo, Allen dijo que sospecha que una vez dentro de la VPN de una empresa objetivo, los atacantes pueden intentar agregar un nuevo dispositivo móvil o número de teléfono a la cuenta del empleado phishing como una forma de generar códigos únicos adicionales para el acceso futuro de los phishers. ellos mismos o cualquier otra persona que esté dispuesta a pagar por ese acceso.

Nixon y Allen dijeron que las actividades de esta pandilla vishing han llamado la atención de las autoridades federales estadounidenses, que están cada vez más preocupadas por las indicaciones de que los responsables están comenzando a expandir sus operaciones para incluir organizaciones criminales en el extranjero.

«Lo que vemos ahora es que este grupo es realmente bueno en la parte de intrusión y muy débil en la parte de retiro», dijo Nixon. “Pero están aprendiendo a maximizar los beneficios de sus actividades. Eso requerirá interacciones con pandillas extranjeras y aprender a realizar un lavado de dinero de adultos adecuado, y ya estamos viendo señales de que están creciendo muy rápido ahora «.

¿QUÉ PUEDEN HACER LAS EMPRESAS?

En la actualidad, muchas empresas hacen de la concienciación y la formación sobre seguridad una parte integral de sus operaciones. Algunas empresas incluso envían periódicamente mensajes de prueba de suplantación de identidad a sus empleados para medir sus niveles de conciencia, y luego requieren que los empleados que pierden la marca reciban capacitación adicional.

Estas precauciones, si bien son importantes y potencialmente útiles, pueden hacer poco para combatir estos ataques de phishing basados ​​en teléfonos que tienden a apuntar a nuevos empleados. Tanto Allen como Nixon, así como otros entrevistados para esta historia que pidieron no ser identificados, dijeron que el eslabón más débil en la mayoría de las configuraciones de seguridad de VPN corporativas en estos días es el método en el que se confía para la autenticación multifactor.

Un dispositivo U2F fabricado por Yubikey, conectado al puerto USB de una computadora.

Una opción de múltiples factores, las llaves de seguridad físicas, parece ser inmune a estas estafas sofisticadas. Las llaves de seguridad más utilizadas son dispositivos económicos basados ​​en USB. Una clave de seguridad implementa una forma de autenticación multifactor conocida como Universal 2nd Factor (U2F), que permite al usuario completar el proceso de inicio de sesión simplemente insertando el dispositivo USB y presionando un botón en el dispositivo. La clave funciona sin necesidad de controladores de software especiales.

El atractivo de los dispositivos U2F para la autenticación multifactor es que incluso si un empleado que ha registrado una clave de seguridad para la autenticación intenta iniciar sesión en un sitio impostor, los sistemas de la empresa simplemente se niegan a solicitar la clave de seguridad si el usuario no está conectado. el sitio web legítimo de su empleador y el intento de inicio de sesión falla. Por lo tanto, el segundo factor no puede ser phishing, ni por teléfono ni por Internet.

En julio de 2018, Google reveló que no había tenido a ninguno de sus más de 85,000 empleados phishing exitosamente en sus cuentas relacionadas con el trabajo desde principios de 2017, cuando comenzó a requerir que todos los empleados usaran llaves de seguridad físicas en lugar de códigos de un solo uso.

Probablemente el fabricante más popular de claves de seguridad es Yubico, que vende una Yubikey U2F básica por 20 dólares. Ofrece versiones USB regulares, así como aquellas diseñadas para dispositivos que requieren conexiones USB-C, como los sistemas Mac OS más nuevos de Apple. Yubico también vende llaves más caras diseñadas para funcionar con dispositivos móviles. [Divulgación completa: Yubico fue recientemente un anunciante en este sitio].

Nixon dijo que muchas empresas probablemente se resistirán al precio asociado con equipar a cada empleado con una llave de seguridad física. Pero dijo que mientras la mayoría de los empleados continúen trabajando de forma remota, esta probablemente sea una inversión inteligente dada la escala y la agresividad de estas campañas de phishing por voz.

“La verdad es que algunas empresas están sufriendo mucho en este momento y están teniendo que apagar incendios mientras los atacantes provocan nuevos incendios”, dijo. “Solucionar este problema no será simple, fácil ni barato. Y hay riesgos involucrados si de alguna manera arruinas a un grupo de empleados que acceden a la VPN. Pero aparentemente estos actores de amenazas realmente odian a Yubikey en este momento «.

Fuente: Krebs on Security

Deja un comentario